These Descartes

Revenir au résultat de la recherche

Les données personnelles de santé dans le cycle de vie d'un système d'intelligence artificielle : enjeux juridiques comparés France, Québec et Californie

Personal health data throughout the lifecycle of an artificial intelligence system : a comparative legal analysis in France, Quebec, and California

par Maëlenn CORFMAT sous la direction de Anne DEBET et de Catherine RÉGIS
Thèse de doctorat en Sciences juridiques - droit privé
ED 262 Sciences Juridiques, Politiques, Economiques et de Gestion

Soutenue le lundi 16 décembre 2024 à Université Paris Cité , Université de Montréal (1878-....)

Sujets

Apprentissage automatique
Californie (États-Unis)
Droit à la vie privée
Droit comparé
Droits des patients
France
Identité numérique
Intelligence artificielle
Intelligence artificielle en médecine
Québec (Canada)
Santé

Un embargo est demandé par le doctorant jusqu'au 16 décembre 2029

Vous pouvez accéder au texte intégral de la thèse en vous authentifiant à l’aide des identifiants ENT d’Université Paris Cité, si vous en êtes membre, ou en demandant un accès extérieur, si vous pouvez justifier de de votre appartenance à un établissement français chargé d’une mission d’enseignement supérieur ou de recherche

Se connecter ou demander un accès au texte intégral

Les thèses de doctorat soutenues à Université Paris Cité sont déposées au format électronique

Consultation de la thèse sur d’autres sites :

Theses.fr (Version intégrale de la thèse (pdf))

Description en anglais

Description en français

Mots clés	Intelligence artificielle, Santé, Droit au respect de la vie privée, Données personnelles, Données de santé, Renseignements personnels, Méthode fonctionnelle en droit comparé, Apprentissage machine
Resumé	L'encadrement de l'intelligence artificielle (IA) dans le domaine de la santé est au coeur de vives discussions dans de nombreuses juridictions du monde. Parmi eux, la France, le Québec et la Californie, qui participent chacun d'ordres juridiques parallèles ou supérieurs - respectivement l'Union européenne, le Canada et les Etats-Unis d'Amérique - semblent précisément liés par la recherche d'un objectif similaire. En effet, ils manifestent de manière claire et intensive leur intention politique, économique et juridique de mettre tout en oeuvre pour provoquer, soutenir et entretenir le développement de l'intelligence artificielle (IA) afin de promouvoir la santé publique, d'accélérer les diagnostics, d'affiner les traitements, ou encore d'améliorer les conditions d'existence des patients. Cette volonté s'accompagne d'une intention concomitante : celle de garantir de la manière la plus adéquate le droit à la protection de la vie privée (ou right to privacy), dont la valeur constitutionnelle consacrée au sein de chacune de ces juridictions la place en principe comme une priorité. Or, nous soutenons que les règles participant des régimes de protection des données personnelles et de santé recherchent précisément ce double objectif, davantage encore dans l'attente ou dans le silence des réglementations spécifiques aux systèmes d'IA. Pourtant, elles envisagent aussi les fondements et la substance de la vie privée de manière quelque peu différente, aboutissant à des situations variées de l'application des règles. C'est cette forme de diversité juridique, au coeur de grandes similarités, que nous analysons au coeur d'un travail de droit comparé. La recherche s'appuie la méthode fonctionnelle développée en droit comparé, soit celle du fonctionnalisme d'équivalence. Le double objectif évoqué s'analyse ainsi comme l'une des fonctions recherchées par les règles législatives de protection des données personnelles analysées. Ces instruments juridiques peuvent être comparés uniquement parce qu'ils sont considérés servir cette même fonction (parmi d'autres). A travers cette approche méthodologique, nous tentons de montrer que l'application des règles qui composent ces instruments suppose des bases, des imbrications et des situations factuelles résultant de leur application, tantôt différentes, tantôt communes, influençant cependant toujours sur la manière dont les instruments servent la fonction. Nous soutenons, de manière préliminaire, que les juridictions répondent d'abord à cette fonction par la détermination des entités et des données concernées, impactant dès lors les phases de conception et d'exploitation d'un système d'IA en santé. Nous soutenons ensuite que les juridictions répondent à la fonction par la détermination de règles relatives à la collecte et à la réutilisation de données, encadrant ainsi la constitution des bases de données d'apprentissage nécessaires à la phase de conception d'un système d'IA. Nous soutenons enfin que les juridictions répondent à la fonction par la détermination de droits et d'obligations relatifs au traitement de données par des technologies comportant des risques pour la vie privée, encadrant ainsi notamment les décisions automatisées et le profilage, et concernant donc la phase d'exploitation d'un système d'IA. Notre analyse permet plusieurs conclusions. D'abord, et de manière générale, plus les entités et les données sont largement envisagées, plus un degré de protection peut être assuré sans que le développement de l'IA s'en soit drastiquement impacté. Nos conclusions amènent également à considérer que les deux types de règles analysées, dont les premières étaient a priori mal adaptées au contexte de l'IA et les deuxièmes plus rarement l'objet de discussions spécifiques à l'IA, sont pourtant dotées d'un intérêt majeur pour répondre à la fonction, si elles sont interprétées et appliquées selon les éléments dégagés par l'analyse comparée.

Mots clés

Intelligence artificielle, Santé, Droit au respect de la vie privée, Données personnelles, Données de santé, Renseignements personnels, Méthode fonctionnelle en droit comparé, Apprentissage machine

Resumé

L'encadrement de l'intelligence artificielle (IA) dans le domaine de la santé est au coeur de vives discussions dans de nombreuses juridictions du monde. Parmi eux, la France, le Québec et la Californie, qui participent chacun d'ordres juridiques parallèles ou supérieurs - respectivement l'Union européenne, le Canada et les Etats-Unis d'Amérique - semblent précisément liés par la recherche d'un objectif similaire. En effet, ils manifestent de manière claire et intensive leur intention politique, économique et juridique de mettre tout en oeuvre pour provoquer, soutenir et entretenir le développement de l'intelligence artificielle (IA) afin de promouvoir la santé publique, d'accélérer les diagnostics, d'affiner les traitements, ou encore d'améliorer les conditions d'existence des patients. Cette volonté s'accompagne d'une intention concomitante : celle de garantir de la manière la plus adéquate le droit à la protection de la vie privée (ou right to privacy), dont la valeur constitutionnelle consacrée au sein de chacune de ces juridictions la place en principe comme une priorité. Or, nous soutenons que les règles participant des régimes de protection des données personnelles et de santé recherchent précisément ce double objectif, davantage encore dans l'attente ou dans le silence des réglementations spécifiques aux systèmes d'IA. Pourtant, elles envisagent aussi les fondements et la substance de la vie privée de manière quelque peu différente, aboutissant à des situations variées de l'application des règles. C'est cette forme de diversité juridique, au coeur de grandes similarités, que nous analysons au coeur d'un travail de droit comparé. La recherche s'appuie la méthode fonctionnelle développée en droit comparé, soit celle du fonctionnalisme d'équivalence. Le double objectif évoqué s'analyse ainsi comme l'une des fonctions recherchées par les règles législatives de protection des données personnelles analysées. Ces instruments juridiques peuvent être comparés uniquement parce qu'ils sont considérés servir cette même fonction (parmi d'autres). A travers cette approche méthodologique, nous tentons de montrer que l'application des règles qui composent ces instruments suppose des bases, des imbrications et des situations factuelles résultant de leur application, tantôt différentes, tantôt communes, influençant cependant toujours sur la manière dont les instruments servent la fonction. Nous soutenons, de manière préliminaire, que les juridictions répondent d'abord à cette fonction par la détermination des entités et des données concernées, impactant dès lors les phases de conception et d'exploitation d'un système d'IA en santé. Nous soutenons ensuite que les juridictions répondent à la fonction par la détermination de règles relatives à la collecte et à la réutilisation de données, encadrant ainsi la constitution des bases de données d'apprentissage nécessaires à la phase de conception d'un système d'IA. Nous soutenons enfin que les juridictions répondent à la fonction par la détermination de droits et d'obligations relatifs au traitement de données par des technologies comportant des risques pour la vie privée, encadrant ainsi notamment les décisions automatisées et le profilage, et concernant donc la phase d'exploitation d'un système d'IA. Notre analyse permet plusieurs conclusions. D'abord, et de manière générale, plus les entités et les données sont largement envisagées, plus un degré de protection peut être assuré sans que le développement de l'IA s'en soit drastiquement impacté. Nos conclusions amènent également à considérer que les deux types de règles analysées, dont les premières étaient a priori mal adaptées au contexte de l'IA et les deuxièmes plus rarement l'objet de discussions spécifiques à l'IA, sont pourtant dotées d'un intérêt majeur pour répondre à la fonction, si elles sont interprétées et appliquées selon les éléments dégagés par l'analyse comparée.